个人信息处理法律合规性评估指引：概述和术语.docxVIP

1

个人信息处理法律合规性评估指引第1部分：概述和术语

1范围

本文件给出了个人信息处理及其法律合规性评估的概述和术语，描述了个人信息处理法律合规性评估的评估目的、评估主体、评估对象、评估准则和评估方法论。

本文件适用于各种类型的组织对其个人信息处理的合规状态或合规能力进行第一方评估和管理，个人信息相关方为采购、监管等特定目的（诸如采购、监管）进行的第二方评估，以及独立的评估机构进行的第三方法律合规性评估和咨询。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T

25069—2010

信息安全技术术语

GB/T

35273—2020

信息安全技术个人信息安全规范

GB/T

29246—2017

信息技术安全技术信息安全管理体系概述和词汇

GB/T

19000—2016

质量管理体系基础和术语

GB/T

27000—2006

合格评定词汇和通用原则

3术语

GB/T25069—2010、GB/T35273—2020、GB/T29246—2017、GB/T19000—2016、GB/T27000—2006中界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T25069—2010、GB/T35273—2020、GB/T29246—2017、GB/T19000—2016、GB/T27000—2006中的一些术语和定义。

注1：关于信息安全、隐私和信息技术、网络安全主题的现有国家标准和国际标准中已经给出了与个人信息处理有关的大多数术语。为了给个人信息处理法律合规性评估建立一个统一的语境，本文件汇总和抄录了其中的部分术语。为便于将本文件与现有的标准相结合使用，附录A给出了本文件中采用的概念与相关标准中对应概念的关系图示。

注2：本文件中的一些术语是现有标准中未涵盖从而必须予以定义的概念，另一些则是标准化和相关活动的通用词汇在适用于个人信息处理法律合规性评估语境时有必要予以调整或解释，本文件通过注释的改写和添加示例解释了这些通用词汇并指明了定义的来源。

3.1法律合规性评估相关术语1)

3.1.1

法律合规性评估legalcomplianceassessment

1)GB/T19000—2016和GB/T27000—2006均给出了标准化和相关活动的通用术语，尤其是与评估活动相关的术语。如果本文件中使用了在本文件中未改写或抄录的标准化和相关活动通用术语，尤其是与评估活动相关，并且上述两个规范性引用文件中对同一术语给出了不同的定义时，GB/T27000—2006的定义优先于GB/T19000—2016。

2

获取客观证据并客观评价以确定评估准则得到遵守或满足的过程。

注1：根据评估主体与评估对象的关系，法律合规性评估可以分为第一方评估、第二方评估或第三方评估。注2：评估对象中的要素为组织时是确定评估准则得到遵守，其他要素则确定评估准则得到满足。

注3：法律合规性评估可能包括为获取客观证据所需的测量、试验、检验、记录、事实陈述、文件评审等活动，基于客观证据评价合规要求得到满足所需的验证、确认等活动，以及基于客观证据评价合规要求得到满足的程度的专家评审等活动。GB/T19000—2016给出了上述各项活动的定义。

注4：取决于法律合规性评估的目的、范围和评估结论的用途，法律合规性评估可能得出符合或不符合的评定结论，也可能得出符合程度的评定结论。

3.1.2

评估主体subjectofassessment实施法律合规性评估的组织。

3.1.3

评估对象objectofassessment

被识别以与评估准则进行比较的组织的个人信息处理，也包括个人信息处理的对象和环境要素，如产品、服务、过程、程序、管理体系、信息处理设施、个人信息相关方及其他环境要素的集合。

注：GB/T19000—2016给出了产品（3.7.6）、服务（3.7.7）、过程（3.4.1）、程序（3.5.3）、管理体系（3.5.3）的定义。

3.1.4

被评估方assessee

作为评估对象的组成部分受到评估的组织。

3.1.5

评估委托方assessmentclient

向评估机构委托实施法律合规性评估的组织。

3.1.6

第一方评估first-partyassessment

由作为评估对象的组织所实施的法律合规性评估。

注：第一方评估包括由评估对象的组织自行实施的，也包括其委托外部组织代表其利益实施的法律合规性评估。

3.1.7

第二方评估s